我熟悉 vSphere 和大型安装,但对免费产品则不太熟悉。
拓扑和配置
我们有一些分支机构使用 ESXi,并在其上驻留了一个 DC,作为虚拟化主机。这是他们可以访问的唯一本地 DC。
事情变得更加复杂,这些远程办公室是中心辐射配置中的“辐条”。辐条之间无法通信(由于缺乏路由),并且每个辐条都有一个 RODC。
问题
为了使管理更容易,我正在考虑将这些主机添加到我们的域中,但不确定我是否会失去“本地管理员”功能,或者当 DC 不可用时会发生什么。
话虽如此,我看到了一个配置 AD 域的条目。不清楚如何选择 DC,也不清楚容错功能如何工作(如果在 esxi 上工作的话)。
我正在寻找一个比我更聪明的人来帮助我思考在以下场景中将 esxi 连接到 AD 的含义:
- ESXI 托管着一个作为 DC 的 VM,并且已挂起(1/100 DC 发生故障)
- ESXI 无法访问集线器中的服务器(99/100 DC 出现故障)
- 正常访问,其中辐条无法访问(80/100 无法访问,可能看似失败)
我认为这些场景很有趣,因为 ESXI 完全有可能获得 ADDomain.com 的每个 NS 的列表,这等于托管 LDAP 的每个域控制器。*
*脚注:我假设 ESXI 正在使用 LDAP.. 但我不确定
结论
我应该在此配置中将 esxi 连接到域吗?
如果没有可用的 DC,我会失去本地访问权限吗?
答案1
ESXi(就像任何其他系统一样)将总是当其他身份验证方法不可用时,允许本地身份验证(即本地root
用户和您创建的任何本地用户帐户);如果您有本地凭据,您将始终能够登录到 ESXi 服务器,即使 vCenter、AD 或其他任何服务器不可用。
文档:
答案2
我对 ESXi AD 集成(实际上 Likewise)的经验是它可能不稳定。对于小型、简单的拓扑,它可能没问题,但对于更复杂的分布式拓扑,它可能就不行了。对我来说,在每种情况下,当 ESXi 出现问题时,普通计算机都可以使用相同的连接或网络段顺利加入或验证 AD。
最好的办法是启用 Likewise 组件的日志记录功能,否则出现问题时您将无处可去。而且您无法通过 UI 执行此操作,请获取 CLI。
免责声明: 本文为 Enabling logs for Likewise 代理在 ESXi/ESX 上的日志记录 (1026554)
http://kb.vmware.com/selfservice/microsites/search.do?language=en_US&cmd=displayKC&externalId=1026554
关于“如何”应该完全按照 Windows 客户端的操作进行操作,并遵循 DC Locator 流程。我怀疑它不是,或者在某种程度上有所偏离。
域控制器定位过程
http://technet.microsoft.com/en-us/library/cc978011.aspx
答案3
有关 ESX(i) AD 集成的注意事项:
我发现(在 ESXi 5.0 上)当将 ESXi 主机加入域(GUI)时,通过 Likewise 代理(在主机上)的进程会在加入时枚举受信任的域和域控制器,并在 /etc/likewise/krb5-affinity.conf 中使用每个子域/域和关联的 DC 填充文件。
该过程似乎只枚举该时间点的域。检查文件后我发现列出的 DC 从未自动更新,因为有许多旧的 DC IP 已停用或替换,但仍在该列表中。